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Kleine Anfrage 

der Abgeordneten Dr. Konstantin von Notz, Ingrid Hönlinger, Jerzy Montag, 
Josef Philip Winkler und der Fraktion BÜNDNIS 90/DIE GRÜNEN 


Sicherheit von über das Internet steuerbaren Industrieanlagen 


Die Zeitschrift „c't“ berichtet in ihrer Ausgabe vom 6. Mai 2013, Hunderte In- 
dustrieanlagen in Deutschland und europaweit stünden für Hackerangrifife weit 
offen. So sei es IT-Experten des Blattes mit wenigen Mausklicks gelungen, nicht 
nur den Zugang zu Steuerungseinheiten von Anlagen, wie etwa Fabriken, 
Gefängnissen und Heizkraftwerken, zu erlangen, sondern auch den Zugang zu 
entsprechenden Administrationsrechten. So habe man theoretisch die Schließ- 
anlage eines Fußballstadions mit rund 40 000 Sitzplätzen ebenso manipulieren 
und die Alarmanlage ausschalten können, wie auch den Zugang zur Steuerung 
der Heizungsanlage eines hessischen Gefängnisses erlangen können. Privat 
betriebene Blockheizkraftwerke seien ebenso zugänglich gewesen, wie der Zu- 
gang zu den Kontrollen über die Femwärmeversorgung einer ganzen Region. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSl) habe bestätigt, 
dass es in Deutschland rund 500 derartige betroffene Anlagen gebe, die allesamt 
mit über das Internet verfügbaren Steuerungsmodulen ausgestattet seien, was als 
kritisch einzustufen sei. Den Redakteuren der Zeitschrift sei es gelungen, ohne 
spezielle Authentifizierung auf die virtuellen Schaltzentralen zuzugreifen. Die 
Sicherheitslücken seien bereits im Februar 2013 entdeckt worden, die Redak- 
teure hätten daraufhin sofort das BSI informiert. 

Nach Auskunft des BSI handelt es sich ausschließlich um ein bereits seit länge- 
rem bekanntes Problem eines Herstellers von Heizungsanlagen, die aus Gas 
nicht nur Wärme, sondern auch Strom hersteilen (vgl. heise-online vom 15. Mai 
2013, www.heise.de/newsticker/meldung/Vaillant-Heizungen-mit-Sicherheits- 
Leck-1840919.html). 

Laut „c't“ seien auch andere, nicht von der beschriebenen Sicherheitslücke be- 
troffene Steuersysteme, tickende Zeitbomben. Die so genannten Industrieanla- 
gen würden meist durch eingebettete Web-Systeme (embedded Systems) gesteu- 
ert, die nach der Installation meist nicht regelmäßig mit Software-Updates 
gepflegt würden. IT-Experten empfehlen deshalb die strikte Trennung dieser 
Steueranlagen sowohl vom Firmennetz als auch vom Internet (vgl. dpa-Ticker- 
meldung vom 2. Mai 2013). 

Wir fragen die Bundesregierung: 

1. Wann haben die Bundesregierung bzw. das zuständige Bundesministerium 
des Innern (BMI) und die nachgeordneten zuständigen Behörden (BSI, Bun- 
desamt für Bevölkerungsschutz und Katastrophenhilfe etc.) vom obigen Vor- 
gang erstmalig Kenntnis erlangt und entsprechend weitergeleitet (bitte den 
genauen Meldeweg und die beteiligten Gremien aufzählen)? 
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2. Welche Maßnahmen wurden daraufhin konkret veranlasst, und welche Be- 
hörde und Stelle innerhalb der Behörde trug dafür die Verantwortung? 

3. Wie bewertet die Bundesregierung die aufgetretenen Sicherheitslücken im 
Hinblick auf die einschlägigen Sicherheitsstandards und die damit verbun- 
denen Risiken für die Allgemeinheit? 

4. Geht die Bundesregierung davon aus, dass der Vorgang lediglich Probleme 
eines konkreten Produktes (etwa Heizungsanlagen eines bestimmten Typs) 
betrifft, oder handelt es sich um ein generelles Problem von über das Inter- 
net erreichbaren, auf dem freien Markt erhältlichen Steuersystemen von In- 
dustrieanlagen? 

5 . Welche Schlussfolgerangen zieht die Bundesregierung aus der Einschätzung 
von IT-Experten, wonach sog. eingebettete Steuersysteme ohne laufende 
Updates eine weit verbreitete vergleichbare Schwachstelle in der Sicherheit 
von Industrieanlagen darstellen, und welche Maßnahmen schlägt sie zur 
Behebung dieser Sicherheitslücke vor? 

6. Auf welche Weise hat das BSI die Gesamtzahl von etwa 500 betroffenen 
Anlagen ermittelt, und durch welche Gemeinsamkeiten sind die betroffenen 
Anlagen charakterisiert? 

7. Welche Vorschläge hat das BSI gegenüber dem Hersteller oder den jeweili- 
gen Herstellern der problembehafteten Produkte gemacht, und welche kon- 
kreten Änderungen wurden durch diese daraufhin veranlasst? 

8. Wurden die betroffenen Betreiber der Industrieanlagen mittlerweile infor- 
miert, und wenn nein, weshalb nicht? 

9. Kann das BSI bestätigen, dass die beschriebenen Sicherheitslücken mittler- 
weile behoben sind, und weim nein, warum nicht? 

10. Handelt es sich bei den beschriebenen Sicherheitslücken um einen nach 
dem Referentenentwurf des BMI für ein „Gesetz zur Erhöhung der Sicher- 
heit informationstechnischer Systeme“ (abrafbar unter www.bmi.bund.de) 
meldepflichtigen Vorgang, und sind die Hersteller z. B. von Heizanlagen 
„Betreiber kritischer Infrastrukturen“ im Sinne des Gesetzes? 

1 1 . Wer trägt nach Auffassung der Bundesregierung in der Gemengelage aus 
Herstellern, Softwarelieferanten bzw. installierenden Unternehmern, Inter- 
mediären und Endnutzern welchen zivilrechtlichen Haftungsanteil für die 
Installation und Inbetriebnahme eines auch aus BSl-Sicht gravierende 
Sicherheitslücken bietenden Steuerangssystems sowie mögliche zivilrecht- 
lich relevante Folgen im Falle einer missbräuchlichen Ausnutzung der 
Sicherheitslücke? 

12. Trifft es zu, dass nach bundesdeutschem Produkthaftungsrecht die Herstel- 
ler einer entsprechend lückenhaft eingerichteten Steueranlage keine recht- 
liche Pflicht zur Behebung oder Verhinderung der aufgetretenen Mängel 
trifft bzw. etwa zum „Patchen“ einer aufgetretenen Sicherheitslücke? 

13. Für welche Schadensformen haften Hersteller sowohl von Hard- als auch 
Software, wenn Mängel an deren Produkten kausal werden für die typi- 
scherweise in Verbindung mit länger andauernden Stromausfällen auftre- 
tenden Schäden? 

14. Beabsichtigt die Bundesregierung gesetzliche Veränderungen bei der Ver- 
antwortungsverteilung (sowohl zivilrechtlich als auch öffentlich-rechtlich) 
zur Gewährleistung eines übergreifenden, einheitliche Regelungen ermög- 
lichenden Ansatzes bei der IT- Sicherheit, insbesondere mit Blick auf die 
IT-Hersteller, und weim nein, warum nicht? 
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15. Stehen gegenwärtig öffentlich-rechtliche Befugnisse für Maßnahmen der 
Behebung der oben beschriebenen Sicherheitslücken gegenüber dem Her- 
steller zur Verfügung, und wenn nein, wie bewertet die Bundesregierung 
das Fehlen entsprechender Befugnisse? 

16. Welche Schlussfolgerungen und Konsequenzen zieht die Bundesregierung 
aus der Empfehlung von IT-Experten, wonach die Steuerangseinheiten von 
Industrieanlagen generell weder über das Firmennetz noch über das Internet 
zugänglich sein sollten bzw. allenfalls über sog. VPN-Tuimel (VPN = Vir- 
tual Private Network) mit starker Verschlüsselung? 


Berlin, den 29. Mai 2013 

Renate Künast, Jürgen Trittin und Fraktion 
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